サイバー犯罪者は、人を標的にする方法においてますます巧妙になっています。そして正規のように見せかけるも実は危険なWebサイトは、キャンペーンで広く用いられるプラットフォームになっています。
人々は、調べ物、買い物、請求書の支払い、ソーシャルメディアのチェックなど、日常的にインターネットを利用しています。しかし、「2023 State of the Phish」レポートにおけるプルーフポイントによる調査結果によると、こういった日常のインターネット生活に潜む2022年のサイバー脅威状況を確認することができます。
- 社会人の3分の1以上が悪意のあるリンクのクリック、マルウェアのダウンロード、個人情報またはログイン認証情報の流出といったリスクのある行動を1回以上取っています。
- 社会人の60%以上がメール記載のリンクがリンク先のWebサイトに一致していない可能性があることを理解していません。
知識において広い格差があることを示すこうしたデータは警鐘を鳴らすものです。プルーフポイントの調査ではまた、組織の84%が2022年にフィッシング攻撃による被害にあっており、これらの攻撃は、悪意のあるものをクリックさせることを目的にしています。
従業員は組織の第一の防衛線です。組織が耐性を持つべき、Web閲覧における脅威の最新動向について見ていきましょう。
- ChatGPTなどのAIを活用したチャットボット
- 多要素認証(MFA, Multi-Factor Authentication)フィッシング
- Browser-in-the-Browser(BitB)攻撃
AIチャットボットの魅力と注意点
AIを活用したチャットボットは、自然言語のやり取りで瞬時にサポートできる能力により、たちまち広く使用されるようになりました。ChatGPTは、広く知られているAIチャットボットで、その他にもMicrosoft BingやGoogle Bardといったものもあります。
これらのチャットボットは多くの場合、Webブラウザからアクセス可能です。しかし、情報のやり取りが瞬時に行えることから、誤情報や偽情報の多くのセキュリティリスクの温床にもなっています。
AIチャットボットに答える形で個人情報を入力することもあり、銀行口座情報への侵入といった過去の事件で見てきたように、ブラウザを介した個人情報の転送は、攻撃者の標的となる可能性があります。
チャットボットは、ユーザーデータを収集してパフォーマンスを強化し、よりパーソナライズされたやり取りを提供します。そのため、個人を特定できる情報(PII)に関するプライバシー上の懸念も高まるおそれがあり、データが安全に保存されていない、または適切に暗号化されていない場合、個人情報の窃取またはデータ侵害を招く許可されていないアクセスが起こる可能性があります。
多要素認証(MFA)フィッシングの脅威
MFAは標準のセキュリティ慣行になっていますが、「中間者攻撃」としてMFAフィッシング攻撃は、MFAトークンを窃取するべく進化しています。
MFAフィッシング攻撃において被害者は、リバースプロキシを用い、正規のサービスのログイン インターフェースを表示する、なりすましのページにアクセスします。ログイン試行は通常通りに処理されているように見えるものの、被害者がMFAコードとその他のユーザー認証情報を入力すると、リバースプロキシが傍受し、MFAトークンを盗みます。
これによって攻撃者はMFAセキュリティ層を回避し、ユーザーアカウントに侵入することができるようになり、機密データ、個人情報、財務情報にアクセスするかもしれません。また、個人情報を盗んでID窃取を行ったり、アカウントを使用して他のシステムやプライベートデータにアクセスしたりすることもできます。
Browser-in-the-Browser(BitB)攻撃に注意
この高度な形態の認証情報のフィッシングは検知が困難です。巧妙に作成されたフィッシングページに加え、攻撃者は、偽のシングル サインオン(SSO)ウィンドウも作成します。これは、Google、Apple、Twitterなどの信頼できるサイトから認証情報を使用してサービスにログインしようとする際に表示されるウィンドウです。
偽のSSOログインは、フィッシングWebサイトのコードを変更し、フィッシングページ内に別のWebページを埋め込んで作成されます。ユーザーがその信頼できるサイトで認証情報を入力すれば、攻撃者はこれを取得し、被害者のデジタルIDの主要要素にアクセスできる可能性が手に入ります。
重要ポイント:人の行動が最高の防御です
Webブラウザは、危険な可能性があれば警告するセキュリティ機能を備えていますが、安全でない行動を防止することはできません。立ち止まり、考え、行動する、または反応するのは各個人次第です。そのため、セキュリティ意識向上トレーニングが、どのように脅威を認識し、知識を実際の状況に適用するかについてユーザーが理解できるようサポートするために重要な役割を担います。
以下のような、Webサイトの詳細に注意を払い、安全に関する要素や挙動について考慮しましょう。
- ソフトウェアをインストールまたはアップグレードするよう促すブラウザ メッセージのように見えるポップアップ
- 映画、音楽、動画といった無料のダウンロード(悪意のあるソフトウェアが含まれている可能性あり)
- 個人情報を入力すると特典がもらえるといった無料キャンペーン
- 既知のブランドであれば安全だという誤った感覚が生じますが、ブランドを認識したとして、そのイメージは正規のもののように見えるでしょうか?
- Webサイトのコアドメイン名は正しいが(例:「microsoft.com」)、URLのそれ以外の部分で通所とは異なる言葉や綴りが見られる。
- WebサイトのURLは検索結果で表示されるが、正規のリンクではない。
- リンク先が実際にどのようなものであるかを隠すBitlyやTinyURLなどのサービスを使用した短縮URL
- Webサイトがセキュアでない、または認証できないことを示す、ブラウザの警告メッセージ
- セキュリティ証明書がないなどのブラウザの不審な機能
- 機密情報または財務情報を尋ねるWebサイト。ソースが信頼できなければ入力してはいけません。
- 既知のセキュリティ問題から保護するためにブラウザ ソフトウェアを継続的に更新し、拡張機能やプラグインの自動更新には注意が必要です。
「Webブラウジング ロードトリップ(Web Browsing Road Trip)」は、プルーフポイントによる2023年サイバーセキュリティ意識向上キットのテーマです。
次のステップ:サイバーセキュリティ意識向上月間キットを入手しましょう
毎年10月は、サイバーセキュリティ意識向上月間です。ユーザーが今日の脅威から自身と組織を保護できるようサポートするための重要な期間です。
今年10月、組織によるこうした活動をサポートするために、プルーフポイントは、安全かつセキュアなWeb閲覧といった重要なテーマに焦点を当てた、無料の2023年サイバーセキュリティ意識向上キットを発表しました。Webブラウジング ロードトリップ キットは、オンラインの安全に関するコンテンツとコミュニケーションを特集した4週間キットで、開始前の準備や、キャンペーンを要約する方法に関する推奨事項も提供されます。
10月中にサイバーセキュリティ意識向上月間キットをダウンロードしましょう。または、プログラムを向上させたい場合にはいつでも利用できます。
年間セキュリティ意識向上プログラムは、従業員のリスクを軽減することにおいてより優れた成果を達成しているようです。従業員をどのように職場でも自宅でもサイバーセキュリティの戦士となるよう育てることができるかについては、プルーフポイントのCybersecurity Awareness Hubでご覧ください。